5.3.1　HoneyNet数据集描述

HoneyNet数据集由HoneyNet.org组织将黑客攻击数据进行了收集,共含11个月的数据(从2000年4月到2001年2月)的攻击报警信息^[16]。该网络通过ISDN与一位本地ISP相连,网络中的主机主要安装了以下几类操作系统:Solaris Sparc,WinNT,Win98和Linux Red hat。该数据集包含了扫描、rpc.statd和ftp缓冲区溢出攻击3类^[17]。我们利用该数据集进行实验,以期发现安全态势趋势和规律。

以2000年11月份数据为例进行安全威胁态势评估,分析这一个月内网络服务级的安全威胁状态演化。由于HoneyNet组织没有提供网络拓扑结构及主机的服务信息,给安全威胁态势评估系统的分析带来了困难,我们从报警信息中构建仅有关键服务器的简化网络拓扑,通过分析报警数据的目的IP和目的端口,得出如图5.4所示的HoneyNet网络拓朴模型。数据集中截获的报警信息如表5.3所示。

表5.3　11月份Honeynet 2000数据集Snort Alert数据(部分)

图5.4　HoneyNet网络拓朴结构